Dağıtılmış hizmet reddi (DDOS) saldırıları, bir hizmet ya da ağı hedef almak için bir sistem ağını kullanan ve artık düzgün çalışamayacak ya da kısmen kapanacak şekilde onu ya da altyapısını boğmaya çalışan kötü niyetli siber operasyonlardır.

DDOS saldırılarının motivasyonları çeşitlilik göstermektedir. DDOS tehditleri, tehdit aktörlerinin fidye yazılımı vakalarında ödeme yapmaya zorlamak için e-ticaret sitelerine ve çevrimiçi işletmelere karşı kullandıkları yaygın bir şantaj taktiğidir.

Bununla birlikte, tehdit aktörleri yalnızca finansal kazanç peşinde olmayabilir; bazı durumlarda, hacktivizm, siber savaş ve intikam altta yatan motivasyonlardır. Buna ek olarak, sofistike tehdit aktörleri DDOS saldırılarını, daha alçakça kötü niyetli siber operasyonlar gerçekleştirirken hedeflenen varlıkların dikkatini dağıtmak için kullanmışlardır. Spektrumun diğer ucunda, DDOS saldırıları şaka olarak gerçekleştirilebilir. Bazı durumlarda, DDOS saldırıları doğası gereği kötü niyetli değildir ve sadece ağ yanlış yapılandırmalarının bir sonucudur.

DDoS Saldırılarının Türleri

Bir DDoS saldırısının nihai hedefi her zaman sistemi alt etmek olsa da, hedefe ulaşmak için kullanılan atak yöntemleri farklılık gösterebilir. DDoS saldırı türleri 3’e ayrılır:

Volumetrik Saldırıları (Layer 3/4)

Volumetrik DDOS saldırıları en yaygın ve etkili olanlarıdır. Hedef kuruluşun kaynaklarını tüketmek için ağı büyük miktarda ağ trafiğiyle boğar. Bu saldırılarda, saldırganın bir kuruluşu hedef almak için bot olarak bilinen çok sayıda kötü amaçlı yazılım bulaşmış sistem kullanması yaygındır.

User Datagram Protokolü (UDP) ve İnternet Kontrol Mesajı Protokolü (ICMP) floodları volumetrik saldırıları gerçekleştirme de baya yaygın kullanılmaktadır. UDP ve ICMP, bütünlük kontrolleri olmadan hızlı veri iletimine izin veren bağlantısız protokollerdir bu da onları saldırganlar için başlıca suistimal araçları haline getirir.

Bir başka yaygın volumetrik saldırı da Alan Adı Sistemi (DNS) flood’udur. Bu, saldırganın belirli bir etki alanının DNS sunucularına taşarak o etki alanı için DNS çözümlemesini bozması ve hizmetlerin normal trafiğe yanıt vermesini engellemesi durumunda ortaya çıkar. DNS flood saldırılarını normal yoğun trafikten ayırt etmek zor olabilir çünkü büyük hacimli trafik genellikle etki alanındaki kayıtları sorgular ve normal trafik olarak görünür.

Uygulama Katmanı Saldırıları (Layer 7)

Uygulama katmanı, sunucunun gelen bir istemci isteğine yanıt oluşturduğu yerdir. Örneğin, bir kullanıcı tarayıcısında https://bbsteknoloji.com/red-team/ adresini girerse, sunucuya /redteam/ sayfasını talep eden bir HTTP isteği gönderilir. Sunucu sayfayla ilgili tüm bilgileri alır, bir yanıtta paketler ve tarayıcıya geri gönderir.

Bu bilgi getirme ve paketleme işlemi uygulama katmanında (Layer 7) gerçekleşir. Uygulama katmanı saldırısında, bir bilgisayar korsanı farklı botlar/makineler kullanarak sunucudan aynı kaynağı tekrar tekrar talep ettiğinde ve sonunda sunucuyu bunalttığında meydana gelir.

Uygulama katmanı saldırılarının en yaygın türü, kötü niyetli aktörlerin farklı IP adresleri kullanarak bir sunucuya çeşitli HTTP istekleri göndermeye devam ettiği

HTTP flood saldırılarıdır. Bunun bir örneği, bir sunucudan tekrar tekrar PDF belgeleri oluşturmasını istemektir. IP adresi ve diğer tanımlayıcılar her istekte değiştiğinden, sunucu saldırıya uğradığını tespit edemez.

Protokol Saldırıları

Protokol saldırıları, belirli bir hedef ağın veya hizmetin tüm kaynaklarını, art arda çok sayıda hatalı biçimlendirilmiş bağlantı isteği göndererek tüketmeyi amaçlar. SYN flood, yaygın bir protokol saldırısıdır. İki bilgisayar arasında bağlantı kuran normal bir üç yönlü el sıkışmada (three-way handshake), istemci bilgisayar, ana bilgisayara bir

SYN isteği gönderir. Ana bilgisayar SYN isteğini bir SYN-ACK iletisi göndererek onaylar ve ardından istemci bilgisayar ana bilgisayarla bağlantı kurmak için bir ACK iletisi göndererek SYN-ACK’yi onaylar. SYN flood’da, sahte bir IP adresi kullanılarak

hedeflenen bir sunucudaki her porta çok sayıda SYN paketi gönderilir. Ana bilgisayar bir SYN-ACK ile yanıt verir ancak ilk SYN paketleri sahte olduğu için istemciden yanıt gelmez. Sonunda, ana bilgisayarın bağlantı noktaları yarı açık bağlantılarla dolup taşar ve normal bağlantı istekleri reddedilir. SYN flood’lara ek olarak, Ping of

Death ve Smurf DDOS da dahil olmak üzere bir dizi benzer protokol saldırısı uygulanabilir. Protokol saldırıları güvenlik duvarları, yük dengeleyiciler ve sunucular gibi ağ ekipmanlarının işlem kaynaklarını tüketir ve genellikle saniye başına paket olarak ölçülür.

DDoS Saldırıları Neden Olur?

DDoS saldırılarının ana nedenlerinden bazıları şunlardır:

Fidye: Saldırganlar genellikle DDoS saldırılarını gerçekleştirdikten sonra fidye talep ederler ancak bazen saldırı tehdidi içeren bir fidye notu önceden de gönderilebilir.

Hacktivizm: DDoS saldırıları görüş bildirmek için de kullanılır. Hacktivistler bir düzenlemeye, kişiye ya da şirkete desteklerini ya da karşıtlıklarını göstermek için DDoS saldırısı gerçekleştirebilirler.

DDOS Saldırılarından Nasıl Korunur?

Yük Dengeleyiciler ve Güvenlik Duvarları (Load Balancer – Firewall): Yük dengeleyiciler, bir DDoS saldırısında trafiği bir sunucudan diğerine yeniden yönlendirir. Bu, sunucu verilerine esneklik katar. Güvenlik duvarları, bir sisteme istenmeyen trafiği engeller ve belirli bir oranda yapılan istek sayısını yönetir. Bir

DDoS saldırısını tespit etmek için tek bir IP’den birden fazla saldırı olup olmadığını ve zaman zaman yaşanan yavaşlamaları kontrol eder.

Tespit ve Azaltma: DDoS saldırıları için bir müdahale planına sahip olmak son derece önemlidir. Böyle bir ihlal ne kadar erken fark edilirse, tıkanıklığı gidermek o kadar kolay olur. Saldırı durumlarında yükleri azaltmak için DDoS önleme araçları da kullanılabilir.

Bulut Hizmetine Geçin: Halihazırda birçok kuruluşun yer aldığı Amazon web hizmetleri (AWS) ve Microsoft Azure gibi bulut bilişim devleri gelişmiş DDoS koruma araçlarına sahiptir. Ayrıca, ilgili bulut sağlayıcılarındaki mühendisler ihlalin yükünü üstleneceğinden, bu durum bir saldırıyla mücadele etmek için bir müdahale planına sahip olma ihtiyacını ortadan kaldırır.

Bu tür saldırılara karşı hazırlıklı olmak, gerekli teknik ve idari tedbirleri almak ve savunmayı geliştirmek için sistemlerin DDoS dayanıklılığını düzenli olarak test etmek kuruluşunuz için faydalı olacağından emin olabilirsiniz.

Yazar: BBS Teknoloji Red Team Samet GÖZET